ASP.NET - 要求/応答の後に偽造防止トークンを無効にする

Question

私のWebサイトにAntifirgeryトークンを実装しようとしています（ASP.NETではなくMVC）。私はこの記事で述べたように、以下の手順を試しました。

preventing cross-site request forgery (csrf) attacks in asp.net web forms

実装した後、私は_RequestVerificationTokenクッキーが生成され見ることができました。私の質問は、

すべてのリクエストとレスポンスに対して新しいトークンを無効にするか生成するにはどうすればよいですか？

チームの1つは、アプリケーションをテストするためにBurp Suiteを使用しており、Repeaterで要求を送信し、サーバから200成功メッセージを得ることができる代わりに、サーバはエラーをスローし、トークンは無効になるはずです特定の要求/応答呼び出し。

これを実装するより良い方法をお勧めしますか？

Answer 1

フォームを送信する前に__RequestVerificationToken Cookieを変更または削除して無効にします。

1. 私はそれをSteve Sandersonより良く説明できません。
2. Cookieが設定されると、Cookieはユーザーのブラウジングセッションで再利用されます。トークンを塩にすることができますので、 の異なる書式のトークンがあります。私はすべての投稿に のフォームとアクションを適用しない理由はありません。
3. ユーザーの入力（データベース、ユーザーのセッションなど）に基づいて状態を変更するアクションは、この 技術を使用して確実に保護する必要があります。

For more information look at the Jeremy Cook's post